Protokol IPsec je komplexným súborom protokolov riešiacich šifrovanie, autentizáciu, integritu dát a proces tunelovania. Zabezpečenie je realizované na sieťovej vrstve referenčného modelu OSI (Open System Interconnection), a preto poskytuje transparentne bezpečnosť akémukoľvek prenosu, resp. ľubovoľnej sieťovej aplikácii.
Medzi základné komponenty protokolu IPsec patria:
Protokol IPsec podporuje dva pracovné režimy:
V transportnom režime je zvyčajne zašifrovaný alebo overený iba obsah daného IP paketu. Smerovacie informácie zostávajú nezmenené, pokiaľ nie je hlavička IP paketu upravená ani šifrovaná. Pri použití autentizačnej hlavičky AH (Authentication Header) nemôžu byť IP adresy preložené, pretože sa vždy stratí právo na hodnotu hash. Transportné a aplikačné vrstvy sú vždy zabezpečené hashovacou funkciou, takže nemôžu byť nijako upravované (napr. zmenou čísla portu).
V tunelovacom režime je šifrovaný alebo overovaný celý IP paket pomocou ESP (Encapsulating Security Payload). Následne je zapuzdrený do nového IP paketu s úplne novou hlavičkou. Tento režim sa používa na tvorbu sietí VPN určených na komunikáciu medzi jednotlivými sieťami Site-to-Site (napr. medzi smerovačmi prepájajúcimi rôzne siete), Host-to-Site komunikáciu (napr. vzdialený prístup používateľa) a Host-to-Host komunikáciu (napr. súkromný chat).
Tunelovací režim protokolu IPsec podporuje NAT (Network Address Translation) a PAT (Port Address Translation).
Protokol IPsec neobsahuje v hlavičke žiadne pole určujúce typ režimu. Pracovný režim je nastavený podľa hodnoty poľa Next Header (hodnota „IP“ špecifikuje tunelovací režim, hodnoty „TCP, UDP, ICMP“ alebo čokoľvek iné identifikujú transportný režim).
Medzi výhody protokolu IPsec patrí jeho transparentnosť, tzn. nie je potrebné nijako modifikovať protokoly vyšších vrstiev, protokol IPsec môže zabezpečiť ľubovoľný protokol využívajúci protokol IP, zabezpečuje aj „staré“ protokoly, ktoré sú nezabezpečené a je široko podporovaný výrobcami HW (Hardware) a SW (Software).
K nevýhodám protokolu IPsec patrí zvýšenie systémovej réžie (overhead), nutnosť inštalácie klienta v prípade vzdialeného prístupu, sám nerieši autentizáciu používateľa, komplikácie s NAT a PAT (možný iba v tunelovacom režime) a s prenosom premávky typu multicast a broadcast.
Protokol IPsec: